Simjacker: hakowanie telefonu poprzez kartę SIM

Cyberprzestępcy mogą szpiegować nas poprzez telefony, hakując kartę SIM. Wyjaśniamy, jak działa taki atak, jakie zadanie ma w nim narzędzie SIM Toolkit, a także jak zablokować to zagrożenie.

Niedawno eksperci z organizacji AdaptiveMobile Security zidentyfikowali metodę ataku na telefony mobilne, w którym potrzebny jest tylko zwykły komputer i tani jak barszcz modem USB. Podczas gdy starsze metody szpiegowania przez komórkę wymagały posiadania specjalnego sprzętu oraz licencji na prowadzenie działalności telekomunikacyjnej, opisywany dziś atak, nazwany Simjacker, wykorzystuje lukę odkrytą w kartach SIM.

S@T Browser jako źródło zagrożenia

Większość kart SIM wydanych od początku lat 2000, w tym karty eSIM, zawierają menu przygotowane przez swojego operatora. Dzięki niemu można na przykład sprawdzić saldo, doładować konto, uzyskać pomoc techniczną, a nawet poznać prognozę pogody lub horoskop. W starszych telefonach menu to jest dostępne z poziomu aparatu; w systemie iOS jest ukryte głęboko w ustawieniach (w sekcji Aplikacje SIM), a w smartfonach z systemem Android to oddzielna aplikacja (czasami nosi ona nazwę operatora sieci komórkowej).

Wspomniane menu jest w zasadzie aplikacją — a dokładniej kilkoma aplikacjami o nazwie ogólnej SIM Application Toolkit (STK). Programy te nie uruchamiają się samodzielnie na telefonie, lecz na karcie SIM. Należy tu pamiętać, że karta SIM to w rzeczywistości maleńki komputer z własnym systemem operacyjnym i programami. STK reaguje na polecenia zewnętrzne, takie jak naciskanie przycisków w menu operatora, a także sprawia, że telefon wykonuje określone działania, np. wysyła wiadomości SMS lub kody USSD.

Jedna z aplikacji znajdująca się w STK nazywa się S@T Browser. Jest ona używana do wyświetlania stron internetowych w określonym formacie oraz stron znajdujących się w sieci wewnętrznej dostawcy. Na przykład dzięki S@T Browser możesz poznać stan swojego konta.

Aplikacja S@T Browser nie była aktualizowana od 2009 roku, a mimo że w nowoczesnych urządzeniach jej funkcje wykonują inne programy, nadal jest aktywnie wykorzystywana — a przynajmniej nadal jest zainstalowana w wielu kartach SIM. Badacze nie wymienili konkretnych regionów ani firm telekomunikacyjnych, które sprzedają wyposażone w nią karty SIM, ale według nich korzysta z nich ponad miliard ludzi w co najmniej 30 krajach. Co istotne, to właśnie w tej aplikacji została wykryta wspomniana luka.

Atak Simjacker

Atak rozpoczyna się od otrzymania wiadomości SMS zawierających zestaw instrukcji dla karty SIM. Postępując zgodnie z nimi, karta SIM wysyła zapytanie do telefonu o jego numer seryjny oraz identyfikator stacji bazowej, w której zasięgu znajduje się subskrybent, a następnie wysyła odpowiedź SMS zawierającą te informacje na numer atakującego.

Współrzędne stacji bazowej są znane (a nawet dostępne w internecie), więc numer identyfikacyjny stacji bazowej może pomóc w określeniu lokalizacji subskrybenta w obrębie kilkuset metrów. Na tej samej zasadzie działają usługi wykorzystujące lokalizację, które nie wykorzystują satelitów — na przykład gdy urządzenie znajduje się w pomieszczeniu lub gdy ma wyłączony moduł GPS.

Wszystkie działania, do których wykorzystywana jest karta SIM, są dla użytkownika całkowicie niewidoczne. W aplikacji Wiadomości nie są wyświetlane ani przychodzące wiadomości SMS zawierające polecenia, ani odpowiedzi z danymi lokalizacji urządzenia, więc ofiary zagrożenia Simjacker nawet nie mają świadomości, że są szpiegowane.

Kto jest autorem Simjackera?

Według organizacji AdaptiveMobile Security szpiedzy śledzili lokalizację osób w kilku krajach, których nazw nie podano. W jednym z nich każdego dnia jest hakowane około 100–150 numerów. Zwykle żądania są wysyłane nie więcej niż raz w tygodniu; jednak niektóre ofiary są monitorowane znacznie intensywniej — zespół badaczy zauważył, że kilku do odbiorców wysyłano nawet kilkaset potajemnych wiadomości SMS tygodniowo.

Ataki typu Simjacker mogą ewoluować

Jak zauważyli badacze, cyberprzestępcy nie użyli wszystkich możliwości karty SIM, jakie może wykazywać S@T Browser. Na przykład wiadomość SMS może zostać użyta do tego, aby telefon dzwonił na dowolny numer, wysyłał wiadomości o dowolnej treści i na dowolne numery, otwierał łącza w przeglądarce, a nawet wyłączył kartę SIM, przez co telefon ofiary stałby się bezużyteczny.

Luka ta otwiera wiele możliwych scenariuszy ataków — przestępcy mogą przesyłać pieniądze poprzez SMS-y na numery bankowe, dzwonić na numery o podwyższonej opłacie, otwierać strony phishingowe w przeglądarce czy pobierać trojany.

Luka ta jest szczególnie niebezpieczna, ponieważ nie wykorzystuje urządzenia, do którego włożona jest taka karta SIM; zestaw poleceń STK jest standardowy i obsługują go wszystkie telefony, nawet urządzenia Internetu Rzeczy z kartą SIM. Do wykonania niektórych działań, na przykład zrealizowania połączenia, niektóre gadżety wymagają potwierdzenia użytkownika, jednak nie wszystkie.

Jak użytkownicy mogą zabezpieczyć się przed atakami Simjacker?

Niestety nie istnieją żadne specjalne działania, które mogą wykonać użytkownicy wspomnianych kart SIM, aby uchronić się przed atakami. Obowiązkiem operatorów komórkowych jest zapewnienie bezpieczeństwa swoim klientom. Przede wszystkim powinni oni unikać używania przestarzałych aplikacji menu SIM, jak również zablokować kod SMS zawierający niebezpieczne polecenia.

Na szczęście są też dobre wiadomości. Mimo że żaden drogi sprzęt nie jest potrzebny do przeprowadzenia tego ataku, wymaga on dogłębnej wiedzy technicznej i specjalnych umiejętności, co oznacza, że metoda ta nie będzie raczej wykorzystywana przez cyberprzestępców.

Co więcej, badacze poinformowali o luce autora aplikacji S@T Browser, firmę SIMalliance. W efekcie przygotowała ona zestaw porad bezpieczeństwa dla operatorów, którzy wykorzystują wspomnianą aplikację. Ataki z użyciem zagrożenia Simjacker zostały również zgłoszone GSM Association, międzynarodowej organizacji, która reprezentuje interesy operatorów mobilnych na całym świecie. Mamy więc nadzieję, że firmy zastosują środki zapobiegawcze, póki jest jeszcze czas.

Porady